Kein Zugriff auf Dienste trotz Portweiterleitung
-
Hallo zusammen,
ich habe ein merkwürdiges Problem, dass ich mir allerdings nicht erklären kann.
Ich habe an einer pfSense einen VDSL-Anschluss mit Vigor Modem. Einwahl macht die Firewall, funktioniert auch alles super. Ich habe 2-3 Dienste laufen, die ich über die Portweiterleitung öffne bzw. freigebe. Das hat bisher auch immer zuverlässig funktioniert. Von heute auf morgen geht das nicht mehr. Ich hatte schon den Provider in Verdacht, dass auf DS-Lite o.ä. umgestellt wurde. Doch das ist nicht der Fall. Das komische ist, irgendwas muss durchkommen, denn beim Zugriff von Außen auf einen der Dienste verändert sich bei den Rules, der Wert der States. Ich erreiche aber keine Websites und ein Ping auf die externe IP ist auch nicht mehr möglich, das ging vorher auch. Hatte jemand eine Idee oder einen Ansatz. Was braucht ihr noch für Informationen?
-
@heiko3001 Nimm mal den Wert bei MTU raus. Und NAT brauchst Du nicht, wenn der Dienst direkt auf der Firewall läuft. Also bei deinem OpenVPN reicht eine Portfreigabe, Du brauchst keinen Portforward.
Ist dein Outbound-NAT korrekt? -
MTU Wert habe ich entfernt.
Verbindung wurde neu aufgebaut, ändert nichts am Verhalten.Anbei das Outbound NAT:
Der VDSL_GW Eintrag ist dafür da, dass das Modem über seine IP ansprechbar ist.
-
Ich habe jetzt nochmal einen Test Nginx Webserver auf Port 80 gelegt und die Portfreigabe erstellt.
Ich komme von außen nicht auf den Webserver. Die states werden aber hochgezählt, also ein Zugriff wird registriert.
Intern geht es sofort:
-
@heiko3001 wie immer Fehlt mir was zum verständnis
- was ist 192.168.1.0/24
- was ist 172.21.13.1 # wohin gehen die netze
- was ist 172.23.0.13 # wohin gehen die netze
Kannst du mal bitte einen grafischen Netzwerkplan erstellen, damit man das was wir sehen auch zuordnen können
- was ist an der WAN Schnittstelle angeschloßen?
Keine ahnung ob es dir hilft, ich habe HAProxy auf der sense mit einer VirtuellenIP laufen
-
192.168.1.0 /24 ist das Netz des Modems - damit ich das Webinterface des VDSL Modem übers LAN erreiche.
172.21.0.0 /16 ist mein normales LAN, da sind einige Docker Container die von Innen und Außen erreichbar sind. Server und Gerätschaften die nicht unbedingt in die DMZ gehören.
172.23.0.0 /16 ist das DMZ Netz, dort sind Server und Container die von der "normalen" Außenwelt erreichbar sein sollen (NTP,WEB,FTP, Cloud usw.)
WAN ist der "Hauptinternetanschluss" - Kabelinternet mit statischen IP.
VDSL ist der "DSL-Anschluss", rein IPv4 mit dyn. IP - an dem kleinere, "für mich" "interne" Dienste laufen, sollte "WAN" mal nicht erreichbar sein. Quasi ein Backup-WAN. Ist als Failover konfiguriert.Im LAN läuft ein Nginx Reverse-Proxy der den ganzen Traffic steuert.
Merkwürdig ist halt nur, dass das bis vor einigen Tagen erfolgreich lief. Selbst der Ping auf das VDSL Gateway von aussen geht nicht mehr durch.
-
@heiko3001 danke, ganz doof frage, schon mal die Sense NEU gestartet?
NAT sie für mich nicht falsch aus, ich habe bei mir WAN address, sollte passen
-
Ja Sense wurde auch schon neu gestartet.
Das Merkwürdigste ist mir heute aufgefallen.
Alle Weiterleitungen funktionieren nicht, außer die Wireguard Verbindugn auf Port 3026 (siehe meine Bilder)
Diese Verbindung wird einwandfrei aufgebaut. -
@heiko3001
Hallo,hast du vielleicht irgendwelche zusätzliche Packages laufen, die den Traffic blockieren könnten wie Snort, Suricata, pfBlockerNG?
Wenn, dann diese mal deaktivieren zum Testen.172.21.0.0 /16 ist mein normales LAN, da sind einige Docker Container die von Innen und Außen erreichbar sind. Server und Gerätschaften die nicht unbedingt in die DMZ gehören.
172.23.0.0 /16 ist das DMZ Netz, dort sind Server und Container die von der "normalen" Außenwelt erreichbar sein sollen (NTP,WEB,FTP, Cloud usw.)
Deine NAT Regeln sagen jedoch was anderes. Das einzige, was in die DMZ genattet wird, ist demnach NTP.
Kannst du das bitte mal klarstellen?Es brennt mir hier die Frage aus eigenem Interesse, wofür man einen NTP Server vom Internet zugänglich macht.
-
Wir reden hier nur vom VDSL-Backup. Hier laufen nur ein paar Dienste. Alles andere läuft im WAN.
Der NTP-Server ist ein Stratum1 Server den ich günstig ergattern konnte. Er hat mehrere Netzwerk-Schnittstellen und ich bin Mitglied im NTP-Pool und versorge diesen mit meiner Zeit. Oft bei der Arbeit usw. benötige ich eine gut funktionierenden Zeitserver und ich finde es praktisch, wenn ich meinen eigenen per DNS oder statischer IP dauerhaft erreiche. Der hier weitergeleitete NTP-Server im VDSL war nur ein Test. Mit dynamischer IP macht es nicht wirklich Sinn.P.S. Die NAT-Regeln des WAN-Interface sind deutlich umfangreicher.
So sieht es im WAN aus, aber darum geht es hier ja nicht:
-
@viragomann said in Kein Zugriff auf Dienste trotz Portweiterleitung:
@heiko3001
Hallo,hast du vielleicht irgendwelche zusätzliche Packages laufen, die den Traffic blockieren könnten wie Snort, Suricata, pfBlockerNG?
Ich habe den pfBlockerNG laufen, den habe ich testweise aber auch schon ausgehabt weil ich ihn auch als Schuldigen in Verdacht hatte.
-
@heiko3001
Okay, danke. Interessante Sache mit dem NTP. Ich hatte bislang jedoch noch kein Ernst zu nehmendes Bedürfnis verspürt, einen solchen selbst zu betreiben. Aber egal.Du hast also Dual-WAN.
Hast du etwa eine Interface Gruppe, auf der eingehender Traffic erlaubt ist oder Floating Regel dafür?
Falls ja, müsstest du diese entfernen.Falls nicht, wäre Packet Capture das Mittel hier für das Troubleshooting, um zu sehen, ob der weitergeleitete Traffic auf am richtigen internen Interface raus geht und vom Ziel-Host auch Antworten zurückkommen und wenn, ob diese wieder am richtigen WAN raus gehen.
-
Ja ich habe mehrere Internetanschlüsse an der Sense, das funktioniert auch richtig gut. Es dauert ein paar Sekündchen und die Backupleitung übernimmt, wenn WAN1 ausfällt usw.
Das hat bisher gut funktioniert und funktioniert auch weiterhin. Ich kann über die Firewallregeln auch super einstellen, welche Gerät über welches Gateway rausgehen.
Merkwürdig ist halt, dass nur noch die Wireguard VPN Vebrindung auf Port 3026 funktioniert und der Rest nicht. (auf dem VDSL-Interface)
Ich hatte vor knapp 2 Wochen über den Punkt System / Patches eingespielt. Die hatte ich in Verdacht, aber nach zurückspielen der Einstellunge hatte sich auch nichts verändert.
Ich habe gestern Abend die neue 2.80 eingespielt, aber auch das brachte keine Besserung.
-
@heiko3001 Die Patches haben die Firewall State Policy in der CE geändert, aber dies funktioniert in der CE nicht korrekt. Ich hoffe, sie haben das in der 2.8 gefixt. Wenn nicht, stell mal die Firewall State Policy unter Advanced Options in System- Advanced - Firewall & NAT auf Floating States und berichte.
-
@Bob-Dig Ich könnte dich knutschen, das ist die Lösung. Leider wurde es in 2.8 nicht gefixt, aber jetzt weiß ich Bescheid. Genial! Ich hatte so ein bisschen die Patches in Verdacht, aber explizit darauf wäre ich nicht gekommen.
Herzlichen Dank für eure erstklassige Hilfe, insbesondere an @Bob-Dig für den entscheidenen Tip.
-
B Bob.Dig referenced this topic
-
@heiko3001 said in Kein Zugriff auf Dienste trotz Portweiterleitung:
Das hat bisher gut funktioniert und funktioniert auch weiterhin. Ich kann über die Firewallregeln auch super einstellen, welche Gerät über welches Gateway rausgehen.
Das bezweifle ich nicht. Dein Problem ist, wie ich es verstanden habe, eingehender Traffic, nicht ausgehender. Und dafür wären die Regeln interessant, nicht die Gateways.
-
@heiko3001 said in Kein Zugriff auf Dienste trotz Portweiterleitung:
@Bob-Dig Ich könnte dich knutschen, das ist die Lösung. Leider wurde es in 2.8 nicht gefixt, aber jetzt weiß ich Bescheid. Genial! Ich hatte so ein bisschen die Patches in Verdacht, aber explizit darauf wäre ich nicht gekommen.
Wenn die State Policy das Problem ist gibt es aus irgendeinem Grund an einer Stelle asymmetrisches Routing, was ein Netzwerk-Designfehler ist. Das liegt nicht an "das ist kaputt", sondern meistens an einem Problem im Netz. Darum hat @viragomann da völlig recht, dass man dazu erstmal die Details zum Netz un den betreffenden Regeln bräuchte um das genau zu verstehen.
Kaputt oder ein Fehler ist das aber nicht. Das Verhalten ist schon seit 24.03 in Plus drin und funktioniert dort genau wie es soll. Wenn es Probleme gibt, dann liegen die zu >90% an einem Problem beim Routing, nicht an "das neue Feature/Setting ist kaputt" :)
Cheers
